러시아 해커들이 만든 사이트 차단...정치 단체 이름 본 딴 도메인 이름
중간 선거 노리고 러시아의 공격과 미국의 방어 치열하게 이뤄질 듯

[보안뉴스 문가용 기자] 미국 보안 전문가들과 요원들이 중간 선거를 앞두고 긴장을 늦추지 않고 있다. 특히 러시아의 해커들이 주시 대상이다. 그런 가운데 MS가 오늘 6개의 악성 인터넷 도메인을 찾아내 무력화시켰다고 발표했다. MS는 이 도메인이 러시아의 APT 단체인 팬시 베어(Fancy Bear)가 만든 것이라고 주장했다. 팬시 베어는 APT28, 폰스톰(Pawn Storm), 스트론티움(Strontium) 등의 이름으로 알려져 있다.


이 도메인들을 셧다운시킴으로써 팬시 베어가 진행하고 있던 사이버 공격의 첫 단추가 잘못 꿰어진 것으로 보인다. MS의 사장 브래드 스미스(Brand Smith)는 “아직 이 도메인이 실제 공격에 본격적으로 활용된 흔적을 찾을 수 없었다”고 발표했다. 초기 공격을 막았다는 뜻도 되지만, 팬시 베어가 어떤 목적으로, 정확히 누굴 겨냥해 공격을 시작했는지도 알아낼 수 없다는 의미가 된다.

그렇다고 성과가 아주 없는 건 아니다. MS는 이번 셧다운 작전을 통해 몇 가지 힌트를 얻어낼 수 있었다고 밝혔다. 먼저 my-iri.org라는 사이트는 국제 공화당 기구(International Republican Institute)의 웹사이트인 것처럼 꾸며져 있었다. IRI는 비영리 단체로 꽤나 많은 정치인들이 가입되어 있다. hudsonorg-my-sharepoint.com이라는 웹사이트는 허드슨 인스티튜트(Hudson Institute)라는 보수파 비영리 단체의 이름을 가지고 있다. 허드슨 인스티튜트는 러시아 정부의 부패에 대한 보고서를 발표하기도 했다. 또 senate.group이나 adfs-senateservices, adfs-senate.email 등의 웹사이트도 있었는데, 미국 의회 웹사이트를 스푸핑한 것으로 보였다. 게다가 MS의 상품 이름이 섞인 도메인도 있었다. office365-onedrive.com이었다.

이 작전을 수행한 건 MS 내의 디지털 범죄 유닛(Digital Crimes Unit)으로, 지난 2년 동안 12 차례에 걸쳐 팬시 베어가 만든 가짜 웹사이트들을 차단시켰다. 총 84개가 닫혔다. 그러나 MS는 정치 기구나 선거와 관계가 있는 기관을 노린 공격 시도가 계속해서 이어지고 있다는 것이 염려된다는 입장이다. “정치인, 정치 기구, 씽크탱크를 노린 지속적인 공격은 2016년 미국 대선 당시에도 나타났던 패턴이며, 2017년 프랑스 선거에서도 목격된 바 있습니다.”

국제 공화당 기구의 의장인 다니엘 트위닝(Daniel Twining)은 성명 발표를 통해 “IRI는 이전에도 공격 대상이 된 바 있었고, 현재 유사한 공격에 대비한 ‘능동적 절차’를 밟고 있다”고 말했다. “최근 발견된 공격 수법은 러시아 정부가 민주주의와 인권을 위해 일하는 각종 기관들을 겨냥한 공격들에서도 볼 수 있었던 것입니다. 단체나 사회 내에 혼란과 반목을 일으키고 공포를 심어주는 것이죠. 러시아는 푸틴 대통령에 대해 비판적인 사람들에게도 이러한 수법을 씁니다.”

허드슨 인스티튜트 역시 성명을 발표했다. “이번 공격의 목적은 정보 수집과 침해는 물론, 민주주의를 촉진시키고 활성화시키려는 프로그램들을 방해하기 위한 것이라고 보고 있습니다. MS는 미국의 사이버 보안 민간 업체 및 사법 기관들과 손을 잡고 이러한 악성 캠페인을 초기에 탐지하고 무력화시켰습니다. 허드슨이 이런 식의 공격을 받은 건 처음 있는 일이 아니며, 앞으로도 더 많은 시도가 있을 것으로 예상하고 있습니다.”

팬시 베어를 수년 간 추적해온 보안 업체 트렌드 마이크로(Trend Micro)는 위 두 기관의 성명을 접하고, “팬시 베어의 수법이 지난 몇 년 동안 변함없다는 건 맞다”고 동의했다. 클라우드 부문 부사장인 마크 누니코벤(Mark Nunnikhoven)은 “MS가 이번에 셧다운시킨 도메인 중 세 개는 트렌드 마이크로도 분석했으며, 팬시 베어가 한 것으로 결론을 내린 상태였다”고 설명했다.

누니코벤은 팬시 베어가 순수 사이버 정찰 활동 이상을 하기 시작한 것은 약 3년 전부터라고 설명한다. “전환점이 된 것이 바로 미국 대선 당시 발생한 DNC 해킹 사건입니다. 여기서 유출된 정보를 가지고 여론을 조작하려고 시도한 것이었죠. 팬시 베어 혹은 폰스톰은 소셜 엔지니어링 공격과 크리덴셜 피싱, 제로데이, 독자적인 익스플로잇 키트 개발, 효율적인 멀웨어 사용, 위장술책에 능한 그룹입니다. 이런 기술들을 가지고 정치적 사안을 통해 여론을 조작하기 시작한 것은 2016년부터이고요.”

보안 업체 파이어아이(FireEye)의 첩보 분석가인 존 헐트퀴스트(John Hultquist)도 “팬시 베어는 전통적으로 씽크탱크와 법조 기관들을 대상으로 정찰활동을 벌이던 그룹”이라고 묘사한다. 이처럼 여론 조작과 관련된 공격을 시도한 건 최근부터 생긴 변화라는 것이다.

한편 MS는 무료 보안 서비스인 어카운트가드(AccountGuard)를 새롭게 런칭했다. 이는 선거와 관련된 사람과 기관들을 보호하기 위해 만든 장치로, 오피스 365 사용을 보다 안전하게 만들어준다. 국가의 지원을 받는 단체 혹은 그에 준하는 단체들의 공격이 오피스 365를 통해 발생할 경우 어카운트가드가 이를 탐지하고 알려준다. 개인 사용자라도 옵션 조정을 통해 어카운트가드를 사용할 수 있다. 어카운트가드는 오피스 365, 아웃룩, 핫메일 사용자들에게 먼저 공개될 예정이다.

3줄 요약
1. 러시아 정부군에 소속된 해킹 단체 팬시 베어, 공격 위해 도메인 6개 마련했으나 미리 발각됨.
2. MS, 2년 동안 이러한 시도 12차례 차단하며 84개의 악성 도메인 셧다운.
3. MS는 국가가 지원하는 공격을 탐지하기 위해 어카운트가드 서비스 시작함.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>